Mecanismos para la detección de ataques

mecanismos para la deteccion de ataques son respecto a seguridad y auditoria de sistemas

Comienza Ya. Es Gratis
ó regístrate con tu dirección de correo electrónico
Rocket clouds
Mecanismos para la detección de ataques por Mind Map: Mecanismos para la detección de ataques

1. Arquitectura general de un sistema de detección de intrusiones

1.1. • Una intrusión. Es una secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema al completo. • La detección de intrusiones. Es el proceso de identificación y respuesta ante las actividades ilícitas observadas contra uno o varios recursos de una red.

2. Cuatro fases del ataque

2.1. • Fase de explotación de servicio. Este segundo paso describe la actividad que permitirá al atacante hacerse con privilegios de administrador (escala de privilegios) abusando de alguna de las deficiencias encontradas durante la etapa anterior.

2.2. • Fase de vigilancia. Durante la fase de vigilancia, el atacante intentara´ aprender todo lo que pueda sobre la red que quiere atacar. En especial, tratara´ de descubrir servicios vulnerables y errores de configuración.

2.3. • Fase de ocultación de huellas. Durante esta fase de ocultación se realizara´ toda aquella actividad ejecutada por el atacante (una vez ya producida la intrusión) para pasar desapercibido en el sistema.

2.4. • Fase de extracción de información. En esta última fase, el atacante con privilegios de administrador tendrá acceso a los datos de los clientes mediante la base de datos de clientes.

3. Elementos de Almacenamiento

3.1. El tiempo de almacenamiento de una información a medio plazo puede ser del orden de dos o tres días, con el objetivo de que pueda ser consultada por los analizadores del sistema en el caso de que el proceso de análisis así lo requiera.

4. Los sistemas de confianza

4.1. Son aquellos sistemas que emplean suficientes recursos software y hardware para permitir el procesamiento simultaneo de una variedad de información confidencial o clasificada. Un segundo sistema de detección de ataques en tiempo real que hay que destacar fue Discovery, capaz de detectar e impedir problemas de seguridad en bases de datos.

4.2. MIDAS Fue uno de los primeros sistemas de detección de intrusiones conectados a internet.

5. Las rootkits

5.1. Suelen contener versiones modificadas de las herramientas básicas de administración, con la finalidad de esconder las acciones ilegıtimas de un atacante y hacer pasar inadvertida la intrusión. Además, trataran de garantizar futuras entradas en el equipo sin que el administrador del sistema las detecte.

6. Escáner de vulnerabilidades

6.1. El funcionamiento general de un escáner de vulnerabilidades

6.1.1. • Durante la primera etapa se realiza una extracción de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguro.

6.1.2. • En la segunda etapa, estos resultandos son organizados y comparados con, al menos, un conjunto de referencia de datos. Este conjunto de referencia podría ser una plantilla con la configuración ideal generada manualmente, o bien ser una imagen del estado del sistema realizada con anterioridad.

6.1.3. • Finalmente, se generara´ un informe con las diferencias entre ambos conjuntos de datos.

6.2. Tipos de escáner

6.2.1. • Escáner basados en maquina Este tipo de herramientas fue el primero en utilizarse para la evaluación de vulnerabilidades. Se basa en la utilización de información de un sistema para la detección de vulnerabilidades

6.2.2. • Escáner basado en red Obtienen la información necesaria a través de las conexiones de red que establecen con el objetivo que hay que analizar. Así pues, el escáner de vulnerabilidades basado en red realiza pruebas de ataque y registran las respuestas obtenidas.

6.3. Nessus Es una herramienta basada en un modelo cliente-servidor que cuenta con su propio protocolo de comunicación.

7. Recolectores de información

7.1. Un recolector de información, también conocido como sensor, es el responsable de la recogida de información de los equipos monitorizados por el sistema de detección. • El primer tipo, conocido como sensores basados en equipo Se encarga de analizar y recoger información de eventos a nivel de sistema operativo (como por ejemplo, intentos de conexión y llamadas al sistema).

8. Procesadores de eventos

8.1. También conocidos como analizadores, conforman el núcleo central del sistema de detección. Tienen la responsabilidad de operar sobre la información recogida por los sensores para poder inferir posibles intrusiones

8.2. • Esquema de detección basado en anomalías Un perfil sirve como métrica (medida de un conjunto de variables) de comportamientos normales. Cualquier desviación que supere un cierto umbral respecto al perfil almacenado será tratada como una evidencia de ataque o intrusión.

9. Sistemas de decepción

9.1. Equipos de decepción También conocidos como tarros de miel o honeypots, son equipos informáticos conectados en que tratan de atraer el tráfico de uno o más atacantes. De esta forma, sus administradores podrán ver intentos de ataques que tratan de realizar una intrusión en el sistema y analizar cómo se comportan los elementos de seguridad implementados en la red.

9.2. Celdas de aislamiento Las celdas de aislamiento tienen una metodología muy similar a los equipos de decepción que acabamos de ver. Mediante el uso de un dispositivo intermedio (con capacidades de detección y encaminamiento) todo el tráfico etiquetado como malicioso será dirigido hacia un equipo de decepción (conocido en este caso como celda de aislamiento).

9.3. Redes de decepción Consiste en la construcción de todo un segmento de red compuesto u´ nicamente por equipos de decepción, preparados todos ellos para engañar a los intrusos (permitiendo su acceso sin demasiada dificultad).

9.4. Prevención de intrusos Los sistemas de prevención de intrusos son el resultado de unir las capacidad de bloqueo de los mecanismos de prevención (encaminadores con filtrado de paquetes y pasarelas) con las capacidades de análisis y monitorización de los sistemas de detección de intrusos.

9.4.1. Conmutadores Híbridos

10. Detección de ataques distribuidos

10.1. Esquemas tradicionales

10.1.1. • Análisis descentralizado En código móvil para realizar una detección de ataques distribuidos utilizan el paradigma de agentes software para mover los motores de detección por la red que hay que vigilar (en forma de agente móvil).

10.1.2. • Análisis descentralizado mediante paso de mensajes Ha sido el de presentar toda una serie de elementos complementarios a los mecanismos de seguridad tradicionales. Estos elementos no deben ser vistos como una alternativa, sino como un complemento necesario para poder garantizar la seguridad de una red TCP/IP.